2.3. Cryostat 서버의 TLS 설정 사용자 정의

이메일 트래픽을 암호화하고 보안을 강화하기 위해 자체 서명된 인증서 대신 CA(인증 기관)의 인증서를 사용하고 TLS(Transport Layer Security) 보안 설정을 사용자 지정하도록 tls를 구성할 수 있습니다. RHEL 9에서 TLS 암호화 프로토콜은 기본적으로 gp 서버에서 활성화됩니다. 기본 dhcp TLS 구성에는 인바운드 SMTP에 대한 자체 서명된 인증서와 아웃바운드 SMTP의 opportunistic TLS가 포함되어 있습니다.

사전 요구 사항

  • 루트 액세스 권한이 있습니다.
  • postfix 패키지가 서버에 설치되어 있어야 합니다.
  • 신뢰할 수 있는 CA(인증 기관) 및 개인 키가 서명한 인증서가 있습니다.

  • 다음 파일을#187 서버에 복사했습니다.

    • 서버 인증서: /etc/pki/tls/certs/ Cryostat.pem
    • 개인 키: /etc/pki/tls/private/ Cryostat.key
  • 서버가 RHEL 9.2 이상을 실행하고 FIPS 모드가 활성화된 경우 클라이언트는 확장 마스터 시크릿(Extended Master Secret) 확장을 지원하거나 TLS 1.3을 사용해야 합니다. TLS 1.2 연결이 없는 경우 실패합니다. 자세한 내용은 TLS 확장 "Extended Master Secret" enforced Knowledgebase 문서를 참조하십시오.

절차

  1. /etc/ Cryostat/main.cf 파일에 다음 행을 추가하여 Cryostat가 실행되는 서버의 인증서 및 개인 키 파일의 경로를 설정합니다. 

    smtpd_tls_cert_file = /etc/pki/tls/certs/postfix.pem
smtpd_tls_key_file = /etc/pki/tls/private/postfix.key

  2. /etc/ Cryostat/main.cf 파일을 편집하여 인증된 사용자에게만 들어오는 SMTP 연결을 제한합니다. 

    smtpd_tls_auth_only = yes

  3. postfix 서비스를 다시 로드하여 변경 사항을 적용합니다. 

    # systemctl reload postfix

검증

  • TLS 암호화를 사용하고 이메일을 보내도록 클라이언트를 구성합니다.

    참고

    Cryostat 클라이언트 TLS 활동에 대한 추가 정보를 얻으려면 /etc/ Cryostat/main.cf에서 다음 행을 변경하여 로그 수준을 0 에서 1 로 늘립니다. 

    smtp_tls_loglevel = 1